UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(zwana dalej: „umową”)

z dnia              , zawarta pomiędzy:


Starostą Śremskim – Zenonem Jahnsem z siedzibą w Śremie przy ul. Xxxxx Xxxxxxxxxxx 00, zwanym dalej „Zamawiającym” lub „Administratorem”,


a

……………………………………………………………………………………………………………………….


zwanymi dalej łącznie: „stronami”.


Niniejsza umowa określa kwestie powierzenia Wykonawcy przez Zamawiającego przetwarzania danych osobowych, w zawiązku z realizacją przez Wykonawcę usług usuwania, przemieszczania, holowania i przechowywania pojazdów usuniętych z drogi w trybie art. 130a ustawy z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym (Dz. U. z 2020 r. poz. 110 z późn. zm).


§ 1

Powierzenie przetwarzania danych osobowych


W związku z zawarciem pomiędzy stronami umowy z dnia       roku na świadczenie usuwania, przemieszczania, holowania i przechowywania pojazdów usuniętych z drogi (zwanej dalej: „umową główną”), w trakcie której realizacji Wykonawca przetwarza dane osobowe, Administrator w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (zwanego dalej: „Rozporządzeniem”) powierza Wykonawcy przetwarzanie tych danych osobowych na zasadach szczegółowo wskazanych w niniejszej umowie.


§ 2

Kategorie osób, których dotyczy powierzenie przetwarzania danych osobowych oraz rodzaj powierzonych danych osobowych

Powierzenie przetwarzania danych osobowych obejmuje kategorie osób oraz rodzaj dotyczących ich danych osobowych w celu niezbędnym do realizacji przez Wykonawcę umowy głównej:

1. imię i nazwisko właściciela lub posiadacza pojazdu,

2. adres zamieszkania właściciela lub posiadacza pojazdu,

3. PESEL właściciela lub posiadacza pojazdu,

4. Nr rejestracyjny pojazdu.


§ 3

Cel i charakter przetwarzania danych osobowych

1. Administrator upoważnia Wykonawcę do przetwarzania danych osobowych, o których mowa w umowie i poleca mu przetwarzanie tych danych osobowych, wyłącznie w celu niezbędnym do realizacji przez Wykonawcę umowy głównej i wyłącznie w zakresie, jaki jest niezbędny do realizacji tego celu.

2. Przez przetwarzanie danych osobowych rozumie się wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

§ 4

Czas trwania przetwarzania

1. Wykonawca uprawniony jest do przetwarzania powierzonych danych osobowych wyłącznie w okresie obowiązywania umowy głównej.

2. Po zakończeniu realizacji umowy głównej, Podmiot przetwarzający zobowiązany jest do usunięcia lub zwrotu Administratorowi powierzonych danych osobowych oraz wszelkich ich istniejących kopii, zależnie od wyboru Administratora, chyba że przepisy prawa powszechnie obowiązującego nakazują ich przechowywanie.


§ 5

Oświadczenie Podmiotu przetwarzającego

1. Podmiot przetwarzający oświadcza, że dysponuje środkami technicznymi i organizacyjnymi gwarantującymi przetwarzanie powierzonych danych osobowych zgodnie z Rozporządzeniem oraz niniejszą umową, w sposób chroniący prawa osób, których dane dotyczą, a także iż dysponuje środkami organizacyjnymi i technicznymi gwarantującymi przetwarzanie powierzonych danych osobowych zgodnie z wymogami przepisów prawa.

2. Administrator, uwzględniając kryteria przewidziane w art. 32 ust. 1 RODO, może zażądać od Podmiotu przetwarzającego, przed przystąpieniem przez Podmiot przetwarzający do przetwarzania danych osobowych, przyjęcia i wdrożenia w odpowiednim terminie dodatkowych środków technicznych lub organizacyjnych celem adekwatnego zabezpieczenia powierzonych Podmiotowi przetwarzającemu danych osobowych. W przypadku złożenia takiego żądania przez Administratora, Podmiot przetwarzający nie jest uprawniony do rozpoczęcia przetwarzania danych i w konsekwencji rozpoczęcia realizacji usług, o których mowa w umowie do momentu realizacji zgłoszonego żądania.


§ 6

Szczegółowe zasady przetwarzania danych osobowych

Podmiot przetwarzający zobowiązuje się:

1) stosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o którym mowa w art. 32 Rozporządzenia;

2) przetwarzać powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakładają na niego przepisy prawa powszechnie obowiązującego; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

3) nadać upoważnienia do przetwarzania powierzonych danych osobowych zatrudnionym przez niego lub współpracujących z nim na podstawie umów cywilnoprawnych osobom, które będą uczestniczyły w przetwarzaniu powierzonych danych osobowych oraz prowadzić ich ewidencję, a także zapewnić, by osoby te zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym, jak i po jego ustaniu;

4) pomagać Administratorowi wywiązywać się z obowiązków określonych w art. 32-36 Rozporządzenia;

5) w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych, zgłosić je niezwłocznie - najpóźniej jednak w ciągu 24 godzin od stwierdzenia naruszenia – Administratorowi, na adres mailowy: xxxx@xxxxxx-xxxx.xx;

6) pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania przez nią jej praw określonych w Rozporządzeniu.


§ 7

Prawo kontroli

1. Administratorowi lub upoważnionemu przez niego audytorowi zewnętrznemu przysługuje prawo kontroli przestrzegania zasad przetwarzania powierzonych danych osobowych, w szczególności w zakresie przestrzegania postanowień niniejszej umowy oraz spełnienia wymogów przewidzianych w Rozporządzeniu oraz innych powszechnie obowiązujących przepisach prawa.

2. Podmiot przetwarzający zobowiązany jest na każdy pisemny wniosek Administratora, udzielić w terminie 7 dni od dnia otrzymania takiego wniosku, pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych.

3. Administrator upoważniony jest do realizowania bezpośredniej kontroli przetwarzania powierzonych danych osobowych, w miejscu ich przetwarzania przez Podmiot przetwarzający, po zgłoszeniu takiego zamiaru z minimum 7-dniowym wyprzedzeniem.

4. W przypadku stwierdzenia przez Administratora naruszeń w przetwarzaniu powierzonych danych osobowych, Podmiot przetwarzający zobowiązany jest do ich usunięcia najpóźniej w terminie 7 dni od dnia zgłoszenia takiego żądania przez Administratora i zgodnie z jego zaleceniami.

5. Podmiot przetwarzający zobowiązany jest udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez niego obowiązków określonych w art. 28 Rozporządzenia, a także przyczyniać się do wykonywania przez Administratora przysługującego mu prawa kontroli.

6. Podmiot przetwarzający zobowiązany jest niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia lub innych przepisów prawa powszechnie obowiązujących dotyczących ochrony danych osobowych.


§ 8

Dalsze powierzenie przetwarzania danych osobowych

1. Podmiot przetwarzający może powierzyć dane osobowe powierzone mu do przetwarzania na podstawie niniejszej umowy do dalszego przetwarzania podmiotom będącym jego podwykonawcami, jedynie w celu realizacji umowy głównej i wyłącznie po uzyskaniu każdorazowo uprzedniej zgody Administratora, wyrażonej w formie pisemnej pod rygorem nieważności.

2. Podmiot przetwarzający zobowiązany jest nałożyć na podmiot, o którym mowa w § 8 ust. 1 umowy, takie same obowiązki z zakresu ochrony powierzonych danych osobowych, jakie wynikają z niniejszej umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych osobowych odpowiadało wymogom Rozporządzenia oraz innym powszechnie obowiązującym przepisom prawa.

3. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za wszelkie naruszenia obowiązków z zakresu ochrony powierzonych danych osobowych przez podmioty, o których mowa w § 8 ust. 1 umowy.


§ 9

Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie powierzonych danych osobowych niezgodnie z postanowieniami umowy, a w szczególności za udostępnienie tych danych osobowych osobom nieupoważnionym.

2. Podmiot przetwarzający zobowiązany jest niezwłocznie poinformować Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający powierzonych danych osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych osobowych, a także o wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących ochrony danych osobowych.


§ 10

Klauzula poufności

1. Podmiot przetwarzający zobowiązuje się względem Administratora do zachowania poufności i nie ujawniania osobom trzecim jakichkolwiek informacji, danych osobowych, dokumentów lub materiałów uzyskanych w związku z wykonywaniem umowy lub umowy głównej (zwanych dalej

„informacjami poufnymi”), chyba że Administrator wyrazi na to zgodę w formie pisemnej pod rygorem nieważności lub że konieczność taka wynika z przepisów prawa powszechnie obowiązującego.

2. Informacje poufne będą wykorzystywane przez Podmiot przetwarzający wyłącznie w celu i w zakresie niezbędnym do realizowania umowy oraz umowy głównej.


§ 11

Postanowienia końcowe

1. Wszelkie zmiany, uzupełnienia, rozwiązanie lub wypowiedzenie umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.

2. W zakresie nieuregulowanym umową zastosowanie mają przepisy Rozporządzenia, Kodeksu cywilnego oraz inne przepisy prawa powszechnie obowiązującego w Polsce.

3. W przypadku, gdy umowa odwołuje się do przepisów prawa powszechnie obowiązującego, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.


………………………… ………………………… Podmiot przetwarzający Administrator

Document Metadata

Filed: December 29th, 2020